Avisos públicos

Todos los avisos > Security Notices > Vulnerabilidad de ejecución remota del código de Apache Struts FileUploadInterceptor (CVE-2024-53677)

Vulnerabilidad de ejecución remota del código de Apache Struts FileUploadInterceptor (CVE-2024-53677)

13 dic. 2024 GMT+08:00

I. Información general

Recientemente, Apache Struts ha publicado un aviso de seguridad, revelando una vulnerabilidad de ejecución remota del código (CVE-2024-53677) en versiones específicas de Apache Struts. La vulnerabilidad surge a partir de un defecto en la lógica de carga del archivo. Si se utiliza FileUploadInterceptor en el código, los atacantes pueden manipular los parámetros de carga del archivo para permitir un camino traversal. En algunas circunstancias, los atacantes pueden cargar archivos maliciosos para explotar la vulnerabilidad, lo que lleva a la ejecución remota del código. 

Apache Struts es un popular marco de aplicaciones web Java. Si usted es un usuario de Apache Struts, verifique sus versiones e implemente las mejoras de seguridad de manera oportuna.

Referencia:

https://cwiki.apache.org/confluence/display/WW/S2-067

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Struts 2.0.0 - Struts 2.3.37 (EOL)

Struts 2.5.0 - Struts 2.5.33

Struts 6.0.0 - Struts 6.3.0.2

Versiones seguras:

Apache Struts >= 6.4.0

IV. Manejo de la vulnerabilidad

Se ha publicado una nueva versión oficial para solucionar esta vulnerabilidad. Actualice a esta versión segura y use el Interceptor de carga de archivos de acción para garantizar la seguridad.

https://github.com/apache/struts/releases

Notas: Antes de corregir vulnerabilidades, haga una copia de respaldo de sus archivos y realice una prueba exhaustiva.